Ein kurzer Einblick… - EDU\|days...© IKARUS Security Software GmbH 01.04.2016 1 "Malwareindustrie und ihre Angriffsmethoden“ Ein kurzer Einblick… EDU Days Krems, 30.03.2016

$Page 1: Ein kurzer Einblick… - EDU\|days...© IKARUS Security Software GmbH 01.04.2016 1 "Malwareindustrie und ihre Angriffsmethoden“ Ein kurzer Einblick… EDU Days Krems, 30.03.2016$
01.04.2016 © IKARUS Security Software GmbH 1

"Malwareindustrie und ihre Angriffsmethoden“ Ein kurzer Einblick…

EDU Days Krems, 30.03.2016

DI Christoph Barszczewski Business Relation Manager

IKARUS Security Software GmbH Blechturmgasse 11

1050 Wien


Aus dem Inhalt

Malware-Business & Cashflow: Angreifer und Motive

Aktuelle Angriffsmethoden: Beispiel 1 – Ransomware und

Cryptolocker

Aktuelle Angriffsmethoden: Beispiel 2 – Scamming für Anfänger

IKARUS für Schulen, IT-BetreuerInnen, IT-Kustoden, LehrerInnen

…


DI Christoph Barszczewski, IKARUS Security Software GmbH:

„Ein Flugzeug am Boden ist 100% sicher, aber dafür nicht geschaffen! “ „Ein Computer kann nicht 100% sicher sein!“

Foto

Ch

ris

Bar

szcz

ewsk

i


Malwareindustrie?

Malwareindustrie = Raubrittertum 2.0


Script-Kiddie Hobbyist Hacker Specialist Expert

Curiosity

Personal Fame

Personal Gain

Business Interest

Vandal

Spy

Author

Thief

Trespasser

Government Interest

Geld

Geld

Geld

Malware als Business, Malware als Business, Malware als Business,


Malware Business & Cashflow


Malware Business & Cashflow – Beispiel:




Cytadel – ein Beispiel der Internationalisierung:

1. Cytadelentwickler: Brasilien 2. Botnetzvertreiber: Niederlande 3. Exploit: Russland 4. C&C Server: Russland/Indien 5. Ransome Trojaner: aus USA 6. Ransome Trojaner Vertrieb: China 7. Geldüberweisungen: Nigeria 8. Geldtransfer: Estonien/Usbekistan



Neue Berufsgruppen und Marktsegmente:

• Exploit Writer / Kit Operator • Malware Writer • Botnet Operator • Malicious Web Hoster / Website Hijacker • Malicious ISP / DNS Operator • C & C Host / Operator • Pisher & Pharmer • Spam Content Provider …



Catch me if you can …

Automatisierung Arbeitsteilung und Modularisierung Malware als Produkt


Wer taugt als Opfer für Ransomware?

Generell:

Jeder der Geld hat und bereit ist aus welchem Grund auch

immer Lösegeld zu zahlen!


Ransomware - Angriffsziele

Betriebssysteme: Windows, Linux, AndroidOS, iOS (Jail Broken)

Privatanwender: • kein Backups, oder • USB HDs, welche an Geräte direkt angeschlossen sind

• Wichtige Dateien wie persönliche Zahlungsbestätigungen, Zugangsdaten, Diplomarbeiten bis zu Manuskripten

Firmen: • Backup UND Desaster Recovery als Fremdwort?

• Backup zwar vorhanden aber für die aktuelle Szenarien nicht ausreichend

Zahlungsmethode: • Locker Ransomware / Voucher Codes (ukashi, usw.) • Crypto Ranssomware / Bitcoin

2015 über 118.000 neue Ransomvarianten (binaries) pro Monat • Locker Varianten 37%

• Crypto Varianten 63 %


Ransomware

Gib es in 2 Ausprägungen:

Lockerware

• sperrt den Zugriff

Cryptoware

• verschlüsselt die Dateien


Lockerware

Zugriff auf Computer/Device wird „gesperrt“

Dateien des Users selbst bleiben unberührt

Verteilung: über Websites, seltener über E-Mail-Anhänge

Preise variiert je Variante und Land zwischen 40 und 100 €

Mindestens 15% der Privatpersonen mit infizierten Rechnern

zahlen das Lösegeld

Leicht zu entfernen (Rechner zurücksetzen, executable aus

„appdata/local/temp“ entfernen …)


BP Trojaner – Varianten/Unterschiede: Stichprobe aus unserem Sample-Set


Lockerware

1.01 1.02 1.03

Support Forum Support Forum Support Forum

1.04 1.05 1.06


1.07 1.08 1.09


1.10 1.11 1.12


1.13 1.14 1.15


GEMA / SUISA / GVU

2.01 2.02 2.03


2.04 2.05 2.06


2.07 2.08 2.09


Sonstige

3.01 3.02 3.03


3.04 3.05

Support Forum Support Forum

Konferenz-, Seminartitel

http://forum.botfrei.de/forumdisplay.php?28-Windows-Systeme





























http://bka-trojaner.de/screenshots/Bundespolizei_NCCU.jpg

http://bka-trojaner.de/screenshots/bundespolizei_de_001.png

http://bka-trojaner.de/screenshots/bundespolizei_de_002.png

http://bka-trojaner.de/screenshots/bundespolizei_de_003.jpg

http://bka-trojaner.de/screenshots/gvu.jpg

http://bka-trojaner.de/screenshots/gema_trojaner.jpg

http://bka-trojaner.de/screenshots/gvuwebcam.jpg

http://bka-trojaner.de/screenshots/celas1.jpg

http://bka-trojaner.de/screenshots/bka-trojaner3.png



http://bka-trojaner.de/


Cryptoware

Verschlüsselt Daten auf PCs, Servern, in Netzlaufwerken und Mobilen Devices

Verbreitung meistens über Spams als Links(www.badurl.xxx) oder Anhänge (rechnung.doc.zip)

Geräte nach Infektion beschränkt nutzbar

Preis 300 – 4500 €

Zahlung: BTC, aktuell oft via TOR

Verschlüsselung anhand symmetrischer und asymetrischer Schlüssel nur unter extremem Aufwand oder gar nicht möglich (2048 Bit Schlüssel)

http://www.badurl.xxx/


Cryptolocker grüßt aus Vorarlberg

„Hallo Christoph,

Leider habe ich an einer Schule bereits Kontakt mit so einem Verschlüsselungsvirus gehabt.

Eine Lehrerin hat einen E-Mailanhang (via GMX-Webmail) mit .js Anhang geöffnet und der

Dropper hat die Schadsoftware nachgeladen. Dann wurden alle erreichbaren Ordner

verschlüsselt. Das (aktuelle) Antivirenprogamm (Microsoft Endpoint Protection) erkannte den

Schädlich nicht, erst am nächsten Tag und hält seitdem die INFO-Textdatei, wie man das Geld

zahlen soll, hartnäckig für einen Virus ;-) “


Ablauf einer Infektion

SPAM-Mail mit badurl.xx oder Anhang

User-Interaktion (Layer 8 – zwischen den Ohren)

http://www.badurl.xx/


Anruf bei IT-Support oder IT-

Betreuer

Böses erwachen

Dilema: to do or not to do?

Beispieldateien entschlüsseln

lassen

Zahlen

Hoffen …


TOR Network: The Onion Routing Network

Darknet und Malware-Business …

The Hidden Wiki: http://kpvz7ki2v5agwt35.onion


Underground Marketplaces


Darknet und Malware-Business


„Lieferung“ TESLA Crypt

Verschickt nur 1 Mail pro Rechner um die Virenscanner

und Spamfilter umzugehen: geringe Versandmenge

(zw. 100-500 Mails pro Welle – dafür bis 50 Wellen pro

Stunde)

Keine EXE/ ZIP-Dateien sondern ein JavaScript als Erstinfektor (dropper) – die eigentliche Malware wird erst nachgeladen


Die neueste Generation der Cryptoware

erzwingt vom Opfer auch die Installation

eines TOR-Browsers, um via TOR eine

Website für weitere Informationen/

Vorgehensweisen aufzusuchen.

Fazit:

Massive Erschwernis für

Strafverfolgung und forensische

Analysen

Erschwerte Spurensuche:



Maßnahmen Installieren und aktualisieren Sie AntiViren-Software, SPAM-Filter, Firewall und IPS so oft wie möglich.

Konfigurieren Sie SPAM-/Viren-Filter so, dass JavaScript-Inhalte von nicht vertraulichen Quellen

geblockt werden (noscript)

Hindern Sie, wenn möglich, JavaScript am automatischen Ausführen (direkt im SPAM-Filter oder am

Mailserver bzw. im E-Mail-Programm).

Löschen Sie Mails mit Links und Anhängen nicht bekannter Absender bzw. nicht erwartete

Nachrichten im Zweifelsfall.

Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand.

Hindern Sie die Verzeichnisse %AppData% und %Startup% am Ausführen von unbekannten

Executables.

Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros.

Informieren Sie sich und Ihre Mitarbeiter über die aktuellen Gefahren.

Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf.



Ohne Virenschutz online zu gehen ist mittlerweile grob fahrlässig,

Ohne Virenschutz gefährdet man mit seinem eigene System alle andere – es wäre so wie mit einem Auto dessen Bremsen nicht richtig funktionieren am Verkehr teilzunehmen,

Es ist unverantwortlich den Daten gegenüber, die man anvertraut bekommt. Wenn Schüler ausspioniert werden oder mit kriminellen Inhalten konfrontiert werden (wie Hass, Rassismus, Porno, Kinderporno), hört sich der Spaß schnell auf,

Wenn herauskommt das Schulen ungeschützt im Netz sind – wird jeder Pädophile und sonstige Spinner sofort dorthin Kontakt aufnehmen

Last but not least

Die Schulen sollen die jungen Menschen aufs Leben vorbereiten. Ihnen zu vermitteln dass es OHNE Virenschutz/Security/Datenschutz geht – wäre katastrophal !


- Zeitaufwand?

- IT-Security Know how?

- Viele Benutzer mit wenig Bewusstsein über die Probleme und

wenig Awareness,

- ….


IKARUS für Schulen und Kustoden


IKARUS Sonderlizenzen

Gibt es speziell im Schulbereich für:

1. Schulen

2. Sonderlizenzen für IT-Betreuer und Kustoden

3. Lehrer und Schüler


Quelle: Virus Bulletin




Ein IKARUS Produkt Ihrer Wahl, zum Beispiel: IKARUS security.manager inklusive IKARUS anti.virus,

oder IKARUS mail.security CS, oder IKARUS web.security CS oder GS,

Lizenzgröße Anzahl PCs

1 JAHR Preis brutto

3 JAHRE Preis brutto

IKARUS Schullizenz 1 1 bis 10 € 120,00 € 192,00




IKARUS Schullizenz 5 101 bis 250 € 960,00 € 1.536,00



IKARUS Schullizenz 8 über 800 € 2784,00 € 4.454,40

http://www.ikarussecurity.com/fileadmin/user_upload/IKARUS_Schullizenzen2016.pdf



Bundle aus zwei IKARUS Produkten Ihrer Wahl, zum Beispiel: IKARUS Schullizenz Kombi II (ISM + IKARUS mail.security), IMSUITE II

oder

IKARUS Schullizenz Kombi III (ISM + IKARUS web.security), IMSUITE III

Lizenzgröße Bezeichnung Anzahl PCs

Preis gesamt brutto 1 Jahr

Preis gesamt brutto 3 Jahre

IKARUS Schullizenz Kombi 1 SC_KOM_1 1 bis 10 € 168,00 € 268,80







IKARUS Schullizenz Kombi 8 SC_KOM_8 über 800 € 3897,60 € 6236,40




Als IT-Betreuer und Kustode sind Sie für die KollegInnen,

LehrerInnen und SchülerInnen ein Vorbild in Sachen Umgang mit

der IT-Security. Um Ihnen dies zu erleichtern kommen wir von

IKARUSe Ihnen mit dem folgenden Sonderangebot entgegen:

-50%Rabatt auf unsere regulären Preise,

Diese vergünstigte Lizenzen gelten für Sie zur privaten und

beruflichen Verwendung.

Telefonischer Support direkt aus Wien in dem Angebot inbegriffen


Endpoint Protection: IKARUS anti.virus bis 3 PCs im Haushalt Sonderlizenz für die IT-Betreuer des Landes Niederösterreich

3 Jahre 5 Jahre

Listenpreis Angebotspreis Listenpreis Angebotspreis

€ 65,28 € 32,64 € 81,60 € 40,80

Zum Beispiel:

Diese Preise sind bereits inklusive

MwSt. Im Preis inbegriffen:

Alle Softwareupgrades und Updates

während der Laufzeit

Telefonischer Support direkt aus

Wien 01 58995 DW 400


Bestellung: erfolgt auf Rechnung. Bestellungen per E-Mail an IKARUS [email protected] oder [email protected] Lieferung: Rechnung und Lizenzdatei als Aktivierungscodes elektronisch per E-Mail, Die Lizenz kann zu einem späteren Zeitpunkt aktiviert werden. Fragen: IKARUS Security Software GmbH, Blechturmgasse 11, 1050 Wien; Ansprechpartner Christoph Barszczewski [email protected] Tel. 01 58995 DW 157; Fax 01 58995 DW 100

mailto:[email protected]








Danke!

Dipl. Ing. Christoph Barszczewski Business Relation Manager, Partner Betreuung

Tel. +43 (0)1 58995-157

[email protected] www.ikarussecurity.com

Documents

Ein kurzer Einblick… - EDU\|days...© IKARUS Security Software GmbH 01.04.2016 1 "Malwareindustrie und ihre Angriffsmethoden“ Ein kurzer Einblick… EDU Days Krems, 30.03.2016